Hitachi Vantara Patches Critical Resource Injection Flaw in Pentaho
2025/04/18 SecurityOnline — Hitachi Vantara が発表したのは、広く利用される Pentaho Data Integration & Analytics プラットフォームに存在する、深刻な脆弱性に対処するための緊急セキュリティ・アドバイザリである。この脆弱性 CVE-2025-0756 (CVSS:9.1) は、リソース識別子の不適切な制御に起因するリソース・インジェクションを引き起こすものであり、特定の条件下ではリモート・コード実行にいたる可能性もある。
同社のアドバイザリには、「この製品は、上流コンポーネントから入力を受け取るが、その入力が意図された制御範囲外にある、リソースの識別子として使用される前に行われるべき、入力に対する制限の問題が存在する」と記されている。
この脆弱性が影響を及ぼすバージョンは、以下のとおりである:
- Pentaho Data Integration & Analytics 10.2.0.2 未満
- すべての 9.3.x/8.3.x ブランチ
この問題の根底にあるのは、プラットフォーム・データソースの作成時に、Java Naming and Directory Interface (JNDI) 識別子が適切に処理されないという問題である。このプラットフォームは、識別子のソース/ディスティネーションの検証に失敗するため、アプリケーション・ロジックまたはシステム・プロセスから、悪意のエンド・ポイントなどへのリダイレクトの可能性が生じる。
公式アドバイザリには、「Hitachi Vantara Pentaho Data Integration & Analytics のバージョン 10.2.0.2 未満 (9.3.x/8.3.x を含む) では、プラットフォーム・データソースの作成時に JNDI 識別子が制限されない」と記載されている。
この脆弱性が悪用されると、以下のような深刻な被害が発生する可能性がある:
- 保護されたコンフィグ・ファイルへの不正アクセス
- 機密データの漏洩
- 内部データソースの操作
- リモートコード実行の可能性
同社のアドバイザリには、「攻撃者による、機密データやシステム・リソースへのアクセス/変更が生じる可能性がある。そこれにより、コンフィグ・ファイルや機密情報を取り込んだファイルへの不正アクセスが可能となり、権限のないユーザーに対して、リモート・コード実行を許す可能性が生じる」と記されている。
このような攻撃により、Pentaho 環境内で管理されているエンタープライズ・データ・パイプラインの機密性と整合性が毀損する可能性がある。
最も安全な対策は、パッチが取り込まれたバージョン 10.2.0.2 以降へと、速やかにアップデートすることだ。
この脆弱性 CVE-2025-0756 は、JNDI 識別子の不適切な処理に起因するものであるとのことですが、少し似たケースに、Log4j の脆弱性 Log4Shell があります。よろしければ、2021/12/16 の「Log4Shell という API セキュリティの課題:ユーザー入力/JNDI/LDAP が生み出すモンスター」も、Log4j まとめページと併せて、ご参照下さい。また、Hitachi Vantara Pentaho の別の脆弱性が、2025/03/03 付で CISA KEV に登録されています。ご利用のチームは、十分にご注意ください。
IoT OT Security News 
You must be logged in to post a comment.